《创建高级交换型互联网实验指导》勘误表.pdfVIP

《创建高级交换型互联网实验指导》勘误表 第295 页，实验二十二完全错误，变更如下： 实验二十二 交换机单向访问控制的实现（一） 一、实验目的 (1) 了解实现单向访问控制； 二、应用环境 单向访问控制—允许A 网段的用户可以访问B 网段的tcp 应用，而B 网段不能访问 A 网段的tcp 应用。适用于某些有特殊要求的场合。 譬如：一个公司有财务部和业务部，财务部可以访问业务部的数据，但是不允许业务部 的机器访问财务部的数据。 三、实验设备 (1) DCRS-5000 系列交换机1 台 (2) PC 机4 台 (3) Console 线1 根 (4) 直通网线若干根 四、实验拓扑 五、实验要求 1.交换机划分为两个VLAN ，VLAN2 和VLAN3 。 VLAN 端口成员 地址 Mask Vlan 2 1/1~1/5 Vlan 3 1/10~1/15 2.正确配置四台机器的IP 地址，子网掩码和网关。 3.FTP-CLIENT1 可以访问到 FTP-SERVER2 ，但同时 FTP-CLIENT2 不能访问到 FTP-SERVER1 ，实现了VLAN2 到VLAN3 的单向访问。 六、实验步骤 第一步：交换机全部恢复出厂设置，配置交换机vlan和端口 略 第二步：给vlan接口配置IP地址 略 第三步：创建ACL DCRS-5526S(Config)# DCRS-5526S (Config)#firewall enable ! 配置访问控制列表功能开启 DCRS-5526S (Config)#firewall default permit !默认动作为全部允许通过 DCRS-5526S(Config)#ip access-list extended noftp DCRS-5526S(Config-IP-Ext-Nacl-noftp)#deny tcp 55 55 d-port 21 ！ 网段访问 网段的FTP 服务,并且此服务的 TCP 包目的端口为 21 时,会被拒绝掉.当FTP 数据从 网段出发时，会被拒绝转发，而当从 发来的FTP 请求在回应时将不会被禁止，这样就实现了 TCP 的FTP 服务的单向控制，其 它 TCP 协议的单向控制同理。 DCRS-5526S(Config-IP-Ext-Nacl-noftp)#exit DCRS-5526S (Config)#interface ethernet 0/0/1-5 DCRS-5526S (Config-If-Prot-Range)#ip access-group noftp in DCRS-5526S (Config-If-Prot-Range)#exit 第四步：在FTP-SERVER1和FTP-SERVER2服务器上开启FTP服务，在FTP-CLIENT1和 FTP-CLIENT2上使用FTP命令验证，结果如下： FTP-CLIENT 端口成员 目的 结果 原因 FTP-CLIENT1 1/1~1/5 FTP-SERVER2 不成功 FTP-CLIENT2 1/10~1/15 FTP-SERVER2 成功 七、注意事项和排错 (1) 在DCRS-5000系列交换机上能做到基于TCP 的单向访问控制.对于UDP数据无法实 现单向访问控制。 (2) 此方法可以避免DCRS-5000系列交换机控制的SERVER受到TCP SYN攻击, 因为交 换机会直接拒绝这样的连接. (3) TCP三次握手建立过程: 当TCP 连接启动时，源主机向目的主机发送TCP SYN 包，目的主机回应SYN ACK 包， 源主机再向目的主机发送ACK 确认包。这种机制被称为“TCP 三次握手” 。 TCP A